微软修补藏了17年的Office漏洞

微软于本周二的 每月例行性更新 中修补了53个安全漏洞，其中有20个属于重大漏洞，特别的是，微软此次修补了Office中一个已存在17年的安全漏洞—CVE-2017-11882。

CVE-2017-11882虽然可招致任意程式攻击，但只被微软列为重要漏洞。根据微软的说明，CVE-2017-11882是个内存毁损漏洞，主要是因Office未能妥善处理内存中的物件，若使用者以管理员权限登入，那么骇客就能接管整个系统，继之安装程式、变更或删除档案，也能建立具备完整使用者权限的新帐号。

骇客只要能说服使用者开启一个特制档案就能开采该漏洞，不论是藉由电子邮件附加档案、网路下载或是连结，影响Office与WordPad等微软产品。

此一漏洞是由资安业者Embedi的安全研究人员Denis Selianin所揭露。 Selianin指出 ，出问题的是微软在2000年所打造的Equation Editor，它的执行档名称为Eqned.exe，这是Office的预设工具，可于文件中插入及编辑方程式，被应用在Office 2000与Office 2003中。

自Office 2007起，微软变更了显示与编辑方程式的方法，也许是为了相容性的考量，微软并未移除过时的Eqned.exe。然而，Selianin却发现，这个老旧的Eqned.exe是在额外的空间执行，因此并未受到Windows或Office安全机制的保护，且已打造了可攻陷自2000年以来任何Windows平台上各种Office版本的攻击程式。

有鉴于微软早就终止某些Office版本的支持，因此本周只释出供Office 2007、2010、2013与2016部署的更新程式。